我收到了一个.exe文件可能会做恶意的事情,因为它被命名为“.jpg.exe”,它有一个假的jpg图标,它有一些隐形选项,例如将 Opacity 设置为 0 ,将 ShowInTaskbar 设置为 {{ 1}} 以及许多其他设置。
我确实知道VB,但我没有足够的经验告诉它它做了什么。有人可以通过这个程序告诉我这个人打算对我的电脑做些什么吗?
FalseImports System
Imports System.ComponentModel
Imports System.Drawing
Imports System.IO
Imports System.Reflection
Imports System.Security.Cryptography
Imports System.Windows.Forms
我假设这个函数是为了解密保存在我的计算机上的passowrd哈希值?
http://ninjastormns.my3gb.com/DecompiledVBCode.txt
我很抱歉发布了这样一个不寻常的问题,但是我需要知道这个人在追求什么,这感觉就像是正确的地方。谢谢。
请注意,如果我怀疑这段代码是恶意的,我会在问题解决后将其删除以避免重复使用。
答案 0 :(得分:4)
我没有花太多时间在这上面,但是显示的代码只是将一个大的二进制blob解密为内存中的程序集,然后运行它。
由于Decrypt例程本身看起来无害,我将其复制到一个新项目中,然后运行:
System.IO.File.WriteAllBytes("C:\quarantine\danger.out", Decrypt(New Byte() { &HBC, &H7B, 220, &H4F, &H60, &H56, &HCA, ... }))
这将恶意程序集的解密字节写入“C:\ quarantine \ danger.out”文件中。当我这样做时,我的防病毒软件立即隔离了该文件并将其标记为“Backdoor.Ratenjay”,后者被列为后门木马。
由于我感觉冒险喜欢冒险,我恢复了隔离文件并用ILSpy打开它。除其他外,似乎:
netsh 您的问题的答案是,攻击者打算在您的计算机上打开后门,以便监控您的系统,并下载并运行任意命令。